|| ساجدة للرحمن || تقرير الهايجاك لدورة تحليل الهايجاك

*زمـــردة* · 3 يوليو, 2011

جزاكي الله خيراً يا قمر

وانتِ من اهل الجزاء ياعسل

: )

ساجدة للرحمن · 3 يوليو, 2011

السلام عليكــم ورحمـة الله وبركاتــة ،،

ربي يبارك فيك

الحمد لله ... نعم أنا ايضا ظننت ذلك عندما رأيت أن عندها 2 أنتي فيروس

أما بالنسبة لعبارة file missing فمعناها أن الملف مفقود ولكن ليس فى كل الأحوال متاح لنا أن نحذفه مادامت القيمة

سليمة وهذه حالة من حالات الاستثناء لحذفه

طيب هذه الحالات محددة ... أم نعرفها بالخبرة ؟؟؟

ولي سؤال من فضلك .... هل أي مشكلة بالجهاز ممكن أعرفها عن طريق تقرير الهايجاك ؟؟؟؟

*زمـــردة* · 3 يوليو, 2011

السلام عليكــم ورحمـة الله وبركاتــة ،،

ربي يبارك فيك

الحمد لله ... نعم أنا ايضا ظننت ذلك عندما رأيت أن عندها 2 أنتي فيروس

أما بالنسبة لعبارة file missing فمعناها أن الملف مفقود ولكن ليس فى كل الأحوال متاح لنا أن نحذفه مادامت القيمة

سليمة وهذه حالة من حالات الاستثناء لحذفه

طيب هذه الحالات محددة ... أم نعرفها بالخبرة ؟؟؟

ولي سؤال من فضلك .... هل أي مشكلة بالجهاز ممكن أعرفها عن طريق تقرير الهايجاك ؟؟؟؟

وعليكم السلام ورحمة الله وبركاته

حياكِ الله ياحبيبة

نعم مبدئياً طبعاً أى ملف مفقود مثل الحالة السابقة بشرط أن يكون البرنامج الخاص به ليس موجود على الجهاز

مثل برنامج الافيرا فى التقرير السابق

اى ملف خاص بالنظام ( السيستيم) حتى ولو مفقود لايُحذف

اى ملف خاص باى برنامج على الجهاز وامامه علامة صح لايُحذف حتى ولو كان مفقود

ولي سؤال من فضلك .... هل أي مشكلة بالجهاز ممكن أعرفها عن طريق تقرير الهايجاك ؟؟؟؟

هو يساعدنا ولكنه لايكفى وحده فيلزم معه بعض الخبرة وسأوضح لكِ اكثر

### هناك بعض الاخوات يشتكين من ان لوحة المفاتيح عندهن لاتكتب عربى مع العلم أن اللغة العربية مُعرفة على الجهاز

علطول نعمل تقرير وسنجد أن الجهاز به العديد من التولبارات هنا يجب أن تُحذف

### هناك من تشتكى من عدم عمل برنامج ميديا معين هنا بعمل تقرير نكتشف أن لديها العديد من برامج الميديا وعملت

تعارض مع بعضها هنا يجب أن نختار لها البرامج المطلوب أن تظل على الجهاز ونحدد لها ايضاً البرامج المطلوب

حذفها مع الاخذ فى الاعتبار ان البرامج التى لن نحذفها تقوم بتشغيل جميع الصيغ

### هناك انواع من الفيروسات يكون تحليل الجهازسبب فى اكتشافها طبعاً هو مش بيقول لكن بتظهر لنا قيم

المفروض تجعلنا نشك فى وجود الفيرس وعند عمل تجارب لمعرفة وجوده من عدمه يتضح لنا بالغالب أن الفيرس موجود

مثل تقريرك القادم ياجميل

بعتذر عن الاطالة واسأل الله أن اكون وفقت فى توصيل المعلومة

: )

*زمـــردة* · 3 يوليو, 2011

حياكِ الله سجودة الحبيبة

نريد تحليل هذا التقرير بارك الله فيكِ

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:35:20 AM, on 4/8/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\winlxwtb.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\winxpjybb.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\windspx.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\wb2e1f.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\hqgy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gomlab.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Real\RealPlayer\update\realsched.exe" -osboot

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.com

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

--

End of file - 5499 bytes

من حيث

نوع النظام

اصدار المتصفح

نوع الانتى فيرس

قائمة بالقيم المراد اصلاحها دون شرحها

البرامج والادوات المقترحة للصيانة

: )

ساجدة للرحمن · 3 يوليو, 2011

السلام عليكــم ورحمـة الله وبركاتــة ،،

ربي يبارك فيك حبيبتي ...

طيب _ عارفه إني زهقتك بكثرة أسئلتي ..بس أستحمليني _

نعم مبدئياً طبعاً أى ملف مفقود مثل الحالة السابقة بشرط أن يكون البرنامج الخاص به ليس موجود على الجهاز

كيف أعرف أن هذا البرنامج ليس موجودا على الجهاز ؟؟؟؟

لأنه في التقرير مكتوب أنه موجود على C في البروجرام فايلز

C:\Program Files\Avira\AntiVir Desktop\sched.exe

*زمـــردة* · 3 يوليو, 2011

السلام عليكــم ورحمـة الله وبركاتــة ،،

ربي يبارك فيك حبيبتي ...

طيب _ عارفه إني زهقتك بكثرة أسئلتي ..بس أستحمليني _

نعم مبدئياً طبعاً أى ملف مفقود مثل الحالة السابقة بشرط أن يكون البرنامج الخاص به ليس موجود على الجهاز

كيف أعرف أن هذا البرنامج ليس موجودا على الجهاز ؟؟؟؟

لأنه في التقرير مكتوب أنه موجود على C في البروجرام فايلز

C:\Program Files\Avira\AntiVir Desktop\sched.exe

وفيكِ بارك المولى سجودة الحبيبة

لا بالعكس سعيدة بأسلتك لأنها بتوضح إنك حبيتى التحليل وتودين معرفة كل شىء

كيف أعرف أن هذا البرنامج ليس موجودا على الجهاز ؟؟؟؟
لأنه في التقرير مكتوب أنه موجود على C في البروجرام فايلز

لا القيمة بالضبط هى

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)

صح لأنها تفرق وسأوضح لكِ السبب

الذى يدل لكِ إذا كان البرنامج موجود على الجهاز أم لا شيئان

1- البرامج والملفات النشطة واتفقنا إنها البرامج التى تعمل مع بداية عمل الويندوز صح

إذا كان هذا البرنامج شغال ع الجهاز المفروض مثله مثل اى انتى فيرس سيعمل مع بداية التشغيل

فهل هو موجود بالبرامج النشطة؟

2- القيم 04 اتفقنا سابقاً إنها برامج بدء التشغيل وملفات الويندوز التي تعمل مع اقلاع الويندوز صح

هل بها هذا البرنامج؟

طيب ماسبب وجود هذا البرنامج فى البروجرام فايل؟

اول شىء يجب علينا توضيح الأمر فالبرنامج ليس موجود البرنامج قد تم حذفه بالفعل ولكن ليس بالأسلوب الصحيح

ولذلك تظهر لنا بعض الملفات المتبقية له فى بعض القيم

أى أن الموجود الآن بالبروجرام فايل ليس البرنامج ولكن ملفات له

فهل وضح الأمر غاليتى

وطبعاً ارحب بأى استفسار

: )

ساجدة للرحمن · 3 يوليو, 2011

السلام عليكــم ورحمـة الله وبركاتــة ،،

أمممم حاسة إن التقرير ده مكلكع حبتين :)

المهم ...نتوكل على الله

نوع النظام : Windows XP SP2

اصدار المتصفح : Internet Explorer v6.00 SP2

نوع الانتى فيرس : لا يوجد ..

قيم لبرامج تعمل بالذاكرة تحذف عن طريق الهايجاك بالطريقة المعروفة ...

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\winlxwtb.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\winxpjybb.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\windspx.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\wb2e1f.exe

C:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\hqgy.exe

هذه القيم نقوم بحذفها بالهايجاك مع التأكد على غلق المتصفح :