• 0
  • مالي خلق
  • أتهاوش
  • متضايق
  • مريض
  • مستانس
  • مستغرب
  • مشتط
  • أسولف
  • مغرم
  • معصب
  • منحرج
  • آكل
  • ابكي
  • ارقص
  • اصلي
  • استهبل
  • اضحك
  • اضحك 2
  • تعجبني
  • بضبطلك
  • رايق
  • زعلان
  • عبقري
  • نايم
  • طبيعي
  • كشخة
    • النتائج 1 إلى 3 من 3

    الموضوع: ................ مشـــــكلة اريــــد المســــاعدة ..............

    1. 11-04-2009, 10:44 AM #1
      الصورة الرمزية chris
      chris
      chris غير متصل مراقب منتديات رزدنت إيفيل
      ومراقب المنتدى العام
      التسجيل
      13-11-2001
      الدولة
      jordan
      المشاركات
      13,402
      المواضيع
      1188
      شكر / اعجاب مشاركة

      Question ................ مشـــــكلة اريــــد المســــاعدة ..............


      بسم الله الرحمن الرحيم
      السلام عليكم ورحمة الله وبركاته

      اخواني لدي مشكلة في جهازي في كل مرة افتح الجهاز تظهر لي ملاحظة الانتي فايروس بان هناك فايروس اسمه
      ( Temporary Internet Files\Content.IE5\4G5ZPABW\731l2[1].exe )


      وجدت موقع اجنبي يشير الى طريقة لازالة الفايروس السابق
      What to do to remove the infection ?

      Step 1: Clean the html pages

      The first action that the system administrator needs to do is to remove from the HTML pages the malicious hidden iframe code and then check the logs and the code of installed php scripts to find the presence of possible vulnerable code.

      Step 2: Remove the infected files

      To remove the infected files from your system you need to:

      1) Delete all created files, in my case:

      C:\WINDOWS\system32\wbem\grpconv.exe
      C:\WINDOWS\Temp\wpv331238107706.exe
      C:\WINDOWS\Temp\wpv761238313566.exe
      C:\WINDOWS\system32\crypts.dll
      C:\Documents and Settings\user\user.exe

      2) Delete the malicious registry key, in my case:

      HKCU\…\Run\user.exe

      3) Do a complete system scan with your Antivirus to detect other possible viruses installed in your computer.

      4) Download, install and update NVT Malware Remover Tool and do a complete system scan of your computer.

      Another very similar analysis is this:
      Website with hidden iframe and Malware Analysis


      سرت على الخطوات التي اشار اليها الشرح
      لم اجد بعض ما اشار اليه ووجدت ملفان قمت بحذف احدهما واما الاخر وهو ملف crypts.dll
      فعندما احذفه يعمل الجهاز ريستارت ...........
      ولايحذف
      وعندما انزلت برنامج لفحص الملفات الضارة
      وجدت البرنامج يعطيني ان ملف crypts.dll ضار ولايوجد اي action لعلاجه .
      وهناك ملف اخر هو ( str.sys )
      ايضا اعطاني البرنامج انه ضار

      ...............................
      وفي ملف ( C:\WINDOWS\Temp )
      يوجد لدي ثلاث ملفات غريبة
      Perflib_Perfdata_1a0
      Perflib_Perfdata_61c
      Perflib_Perfdata_600
      فهل هي فيروسات ايضا ..... ؟

      اليكم تقرير Hijack

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:30:56 AM, on 4/11/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\RunDll32.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\PROGRA~1\SYMANT~1\VPTray.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\CursorXP\CursorXP.exe
      C:\Program Files\DAP\DAP.EXE
      C:\Program Files\Spyware Doctor\swdoctor.exe
      C:\Program Files\Symantec AntiVirus\DefWatch.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\NVT Malware Remover Tool\NVT Malware Remover Tool.exe
      C:\Documents and Settings\Sharaf\Desktop\HiJackThis.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
      O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
      O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
      O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
      O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
      O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
      O4 - HKUS\S-1-5-18\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
      O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
      O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
      O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
      O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

      --
      End of file - 6847 bytes



      فارجو المساعدة يا اخواني




      سلام chris
      chris
      المحب للغير .................
    2. 11-04-2009, 06:08 PM #2
      الصورة الرمزية MOOON
      MOOON
      MOOON غير متصل مهندس صيانة كمبيوتر
      التسجيل
      11-10-2001
      الدولة
      السعودية
      المشاركات
      581
      المواضيع
      20
      شكر / اعجاب مشاركة

      رد: ................ مشـــــكلة اريــــد المســــاعدة ..............

      عزيزي كريس ..

      ما قلت وش الانتي فايروس حقك ؟؟

      عموماً حاول تفحص وتحذف وتسوي حركاتك اللي قلتها والحلول من السيف مود الداعم للشبكة ..

      والذي وضحت طريقة الدخول إليه في هذي المشاركة::

      http://www.montada.com/showthread.php?t=622369

      واذا ما نفع الأنتي فايروس حقك في تنظيف جهازك حاول تنظيفه أون لاين وبعد من السيف مود من موقع الإيست أو موقع البت دفندر ..


      وبالنسبة للملفات المذكورة ::

      Perflib_Perfdata_1a0
      Perflib_Perfdata_61c
      Perflib_Perfdata_600

      فأظن أنها تابعة لبرنامج سباي وير دكتور .. والله أعلم ..

      وبالتوفيق ،،،
      عامل الناس بما تحب أن يعاملوك به !!
    3. 12-04-2009, 05:50 PM #3
      الصورة الرمزية chris
      chris
      chris غير متصل مراقب منتديات رزدنت إيفيل
      ومراقب المنتدى العام
      التسجيل
      13-11-2001
      الدولة
      jordan
      المشاركات
      13,402
      المواضيع
      1188
      شكر / اعجاب مشاركة

      Thumbs up احم احم

      اهلا اخي الغالي MOOON

      انا لدي السيمانتك
      وانا امتلك البيتديفيندر 3 في واحد ولكنه ثقيل على الجهاز وايضا مرة اصابني فايروس ولم يستطع فعل شيء ... رغم انه كان محدث لاخر تحديث
      اما الكاسبر سكاي فتعبت من موضوع الكيات خاصته ..
      واما الافاست فهو نفس الشيء متعب

      اخي برنامج الان لوك رائع ولكنه بمجرد ان اختاره لحذف الملف فان الجهاز يعمل ريستارت وتفشل عملية الحذف
      ولكني صدقا لم افكر بامر السيف مود ولله الحمد اتبعت الاستراتيجية واستخدمت السيف مود وتم حذف الملف بسهولة ودون اي مشاكل تذكر ...

      فكشار لك يا اخي الغالي جزيل الشكر ...




      سلام chris
      chris
      المحب للغير .................
    « مشكلة windows xp from windows vista basic | مشكله في ايقونه النت »

    ضوابط المشاركة

    • لا تستطيع إضافة مواضيع جديدة
    • لا تستطيع الرد على المواضيع
    • لا تستطيع إرفاق ملفات
    • لا تستطيع تعديل مشاركاتك
    •  

    قوانين المنتدى