فيروس مضاد للمكافحات

[بدران]

السلام عليكم ورحمة الله وبركاته...
البارح لعب في جهازي فيروسين مادري ايش اسمهن بالضبط اعتقد انهن winxp او jpg وفيه امتداد طويل قبل ذا الاسامي طبعا برائة الاكتشاف مسجله للافيرا اللي عجز يحذفه.
ثبت انواع مكافحات فيروسات الاوتورن اللي موجوده عندي ومن ضمنهم كموفاكس والخبيث ماطق لهم خبر
فحصت بالهايجاك وبعد الفحص وضع عليهن اكس احمر وحاولت احذفه بالهايجاك لكن الخبيث يرجع وماطق خبر للهايجاك ولا للافيرا ولا لمكافحات الاوترن
فكرت بالاستعانة بصديق وحملت البرنامج النكبه delete doctor 2[1].1 وفعلا برنامج قول وفعل يحذف لك الوندز براسه لو تبي
المهم حطيت رابط الفيروسين ودليت :no:
البرنامج طلب اعادة التشغيل لضمان الحذف.. اصلا ماشاور :d:
المفاجأة بعد التشغيل..
الشاشة السودا
ومكتوب فيها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

]


طبعا بعد هالشاشة قررت افرمت بعد عدة محاولات للاقلاع الفاشل
فرمت السي وبعد الفرمته لايزال قرص الدي فيه فيروسات لنقلي بعض الملفات من قرص السي للدي قبل الفرمته والان الدي لايفتح بالطريقة العادية انما باستكشاف او بالقراءة التلقائية ... طبعا مافتحته حتى لاتنتقل الفيروسات مرة اخرى... فحصت بالكاسبر 8 ويقول مافيه شي ...
مالحل ؟؟؟

 

[Corporation]

أكيد الفيروس كآن في أحدى ملفات النظآم وعندم قمت بالحذف حذف الملف كآمل ,,
وصآر عندك نقص في ملفات النظآم ..
أعمل اصلاح للظآم بارك الله فيك
​

 

[مكافح]

احذفه عن طريق الهايجاك في الوضع الآمن...

 

[MAAX]

حمل الاداة التالية واحقظها على سطح المكتب
( الاداة لا تحتاج تثبيت )

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

وافحص جهازك بها حسب الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[بدران]

أكيد الفيروس كآن في أحدى ملفات النظآم وعندم قمت بالحذف حذف الملف كآمل ,,

وصآر عندك نقص في ملفات النظآم ..
أعمل اصلاح للظآم بارك الله فيك​

شكرا لردك السريع اخي الكريم اخوي انا فرمت السي كله يعني النظام جديد

 

[بدران]

احذفه عن طريق الهايجاك في الوضع الآمن...

شكرا لتوجيهك اخوي مكافح


سم يامديرنا الغالي

No threat found in memory

C:\Autorun.inf cleaned
C:\ cleaned completed.
D:\Autorun.inf cleaned
D:\ cleaned completed.


Scan completed successfully
​

 

[MAAX]

الان اعد تشغيل الجهاز
وسيعود كل شيء كما كان بحول الله

 

[بدران]

الان اعد تشغيل الجهاز
وسيعود كل شيء كما كان بحول الله

لم يتغير شي :no:
لايمكن فتح الدي الا باستكشاف ايضا لازالت تظهر (قرائة تلقائية)
لو فتحته باستكشاف هل تنتقل الفيروسات للسي؟؟

 

[Corporation]

لا أخي ,,

طبق مافي هذه الموضوع ..

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[بدران]

لا أخي ,,​

طبق مافي هذه الموضوع ..​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اخي الكريم السي عندي جديد اليوم مفرمته ولا فيه مشكلة المشكلة في الدي... اطبق اللي ذكرته ولا وشلون؟؟
يعني اعتقد ان السي جديد لم ينتقل اليه الفايروس لاني لم افتح الدي حتى الان

الله يوفقك في امتحاناتك​

 

[السالميه]

متابع لكم

وطلعلي انا

No threat found in memory

C:\ no threat found
D:\ no threat found


Scan completed successfully

 

[MAAX]

حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

 

[بدران]

حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

استاذي العزيز maax
سافحص بالاداة التي ذكرت الان ولكن اريد ان اخبرك بماكتبه الاخ العزيز COMPAQ99 بخصوص فيروس نوح فعند البحث عن اسم noooh والاسم الاخر alnuoh وجدت هذه عدة ملفات بهذا الاسم بعضها انحذف والبعض لم ينحذف..
عموما الفيروس الان وصل للسي بعد الاخذ بكلام الاخ COMPAQ99 بانه لاينتقل... وبعد فتح الدي انتقل..
لحضات واعطيك النتيجة

 

[بدران]

اخوي ماكس الاداة تعلللللللق جربتها ثلاث مرات واخر مرة عطيتها فرصة 30 دقيقة..

 

[MAAX]

اخوي ماكس الاداة تعلللللللق جربتها ثلاث مرات واخر مرة عطيتها فرصة 30 دقيقة..

شغلها بالوضع الامن

 

[بدران]

اخوي ماكس اعتقد اللي عندي فيروس النوح الله ياخذه وهذي اسمائه nooh –noooh-alnuh طبعا عرفت انه هو بعد ماذكره اخوي العزيز COMPAQ99 في رده السابق قلت اجرب ابحث باسم الفيروس عن طريق برنامج البحث الخطير Ava Find وكشف لي انواع الفيروسات وهذي امتداداتها
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\w32_nooh_alnuh[1].js
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\w32_nooh_alnuh[1].htm
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\HT739YLQ\noooh[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\OCSRC0GL\noooh1[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\OCSRC0GL\noooh1[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\noooh2[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\HT739YLQ\noooh3[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\OCSRC0GL\noooh4[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\noooh5[1].gif
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\w32_nooh_alnuh[1].htm
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\w32_nooh_alnuh[1].js
C:\Documents and Settings\hi\Local Settings\Temporary Internet Files\*******.IE5\9RVRVDOF\w32_nooh_alnuh[1].js

طبعا برنامج البحث لم يستطيع حذف الامتدادت ياتطلع لي قرص محمي رسالة خطاء عند محاولة الحذف

مشكلة هذا الفيروس الاساسية باعتقادي انه يعطل خاصية اضهار الملفات المخفية وحاولت اجرب طريقة اخوي COMPAQ99 لكن تفجأت باخفائة لقائمة تعطيل خاصية استعادة النظام وحتى في الوضع الامن لااستطيع اضهار الملفات المخفية !!

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ايضا يعطل محرر الرجستري وعند محاولة الدخول له تظهر هذه الصورة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

طبعا في الوضع العادي او في الوضع الامن لايمكن اضهار الملفات المخفية واستعنت بنسخة وندوز بورتابل للدخول على ملفات النظام وتمكنت من اضهار الملفات المخفية وحذف جميع ملفات الفيروس القذر

الان بقيت لدي مشكلة وهي عدم فتح بعض البرامج مثل الفاير فوكس ومحرر الرجتستر واول ماافتح الجهاز تطلع لي رسائل اخطاء مثل الصورة الثانية تقريبا..

وهذا تقرير SmitfraudFix بعد حذف الفيروس (طبعا قبل الحذف تعلق في الوضع العادي وفي الوضع الامن ) وطبعا فيه ملفات ماطاعت نتحذف يكتب فيه مشكلة في الهوست وتطلع لي رسالة الخطاء مثل الصور 2

SmitFraudFix v2.396

Scan done at 17:32:56.31, Tue 02/17/2009
Run from C:\Documents and Settings\hi\«ل¥ ںéêè¢ \ں¦¢­ں©ں¢ «ل¥ ںéêè¢ \SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - منفذ مصغر لجدولة الحزم
DNS Server Search Order: 212.93.192.17
DNS Server Search Order: 212.93.192.10

HKLM\SYSTEM\CCS\Services\Tcpip\..\{236EE24C-2755-4BC1-A67C-76158A90DA15}: DhcpNameServer=212.93.192.17 212.93.192.10
HKLM\SYSTEM\CS1\Services\Tcpip\..\{236EE24C-2755-4BC1-A67C-76158A90DA15}: DhcpNameServer=212.93.192.17 212.93.192.10
HKLM\SYSTEM\CS2\Services\Tcpip\..\{236EE24C-2755-4BC1-A67C-76158A90DA15}: DhcpNameServer=212.93.192.17 212.93.192.10
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.93.192.17 212.93.192.10
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.93.192.17 212.93.192.10
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.93.192.17 212.93.192.10


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


وهذا تقرير للهايجاك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:05, on 17/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AvaFind\AvaFind.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\hi\سطح المكتب\اختصارات سطح المكتب\Zyzoom_HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AvaFind] "C:\Program Files\AvaFind\AvaFind.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: إضافة إلى حاجب الدعايات - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4250 bytes

ـــــــــــــــــــــــــــــــــــــــــــــــ


:hh:<<< بينطرد من كثر مشاكله :d:

 

[MAAX]

حدد التالي وقم بحذفه

O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe

O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg

طريقة الحذف

​

​

بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود​

ثم نزل هذه الاداة واتبع الشرح التالي​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط ​

شرح الاستخدام ,,,,,,
دبل كلك على الاداة واصبر حتى تنتهي جميع النوافذ وتقف عند هذه النافذة​

​

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغلها واعمل كما الشرح

بعدها اعد تشغيل الجهاز​

​

 

[بدران]

تم حذف قيم الهايجاك بنجاح
شغلت البرنامج الاول وطلعت لي هذه الصورة مرة اخرى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ومع ذلك اكمل عمله ولم يقف حتى بعد تشغيل الكمبيوتر مرة اخرى

البرنامج الثاني لم يعمل تضهر له الصورة السابقة وتوقفه عن العمل

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

النتائج ضهور الملفات المخفية بعد ماكانت لاتظهر.
استطعت للوصول لملف C:\WINDOWS\system32winipg
الذي يضهر في كل رسالة فهل احذفه؟؟
فحصته في موقع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

واعطاني النتيجه صفر!!

محرر الريجستري لا يعمل تضهر رسالة الخطاء كل ماحاولت الدخول عليه.

 

[MAAX]

نعم اخي احذف هذا الملف

winipg

وطبق هذه الشروحات

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

‏

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[بدران]

اخي الغالي maax لا اعرف كيف اشكرك
شكرا من اعماق القلب الجهاز الان 100%100
واحب ان اعتذر لتاخري في الرد وذلك لوجود مشكلة في الدخول على الموقع من خلال مشتركي موبايلي برودباند فمنتديات زيزووم لاتفح نهائيا مع مشتركي برود باند تطلع صفحة لا يمكن العثور على الصفحة وقد تمكنت بحل المشكلة بوضع البروكسي الخاص لشركة برودباند وهو proxy.bayanat.com.sa
والحمد لله تم الدخول.

مرة اخرى اقدم جزيل شكري لك وتقبل فائق تحياتي